【漏洞预警】Apache Kafka访问控制不当漏洞(CVE-2024-27309)

admin 2024年4月14日04:02:51评论27 views字数 747阅读2分29秒阅读模式

【漏洞预警】Apache Kafka访问控制不当漏洞(CVE-2024-27309)

漏洞描述:

Apache Kafka是一个开源分布式事件流平台,通常用于高性能数据管道、流分析、数据集成和和关键任务应用,ZooKeeper通常用于管理Kafka集群的元数据,而KRaft模式则通过Raft协议直接在Kafka集群内部处理这些元数据,近日监测到ApacheKafka中存在一个访问控制不当漏洞(CVE-2024-27309),官方评级为“严重”,Apache Kafka受影响版本中,当Apache Kafka集群从ZooKeeper模式迁移到KRaft模式时,如果管理员删除ACL(访问控制列表),并且与删除的ACL相关联的资源在删除后仍有两个或更多其他ACL关联时,Kafka会将该资源视为在删除后仅具有一个与其关联的 ACL,导致ACL可能无法正确执行,该漏洞可能导致访问控制失效或未授权访问、拒绝服务攻击、合法用户无法正常访问等。

影响范围:

Apache Kafka 3.5.0、3.5.1、3.5.2、3.6.0、3.6.1
注:漏洞具体影响取决于配置的 ACL。如果在迁移期间仅配置了 ALLOW ACL,则影响将仅限于可用性影响,如果配置了DENY ACL,则影响可能包括机密性和完整性影响,因为在迁移过程中DENY ACL可能会被忽略。

安全措施:
升级版本
目前该漏洞已经修复,受影响用户可更新到不受影响的Apache Kafka版本或当前最新版本3.7.0。

下载链接:
https://kafka.apache.org/downloads

临时措施:
通过删除ZK模式下的所有代理,或向受影响的资源添加新的ACL,可以清除不正确的情况,迁移完成后,元数据不会丢失(ACL全部保留)

原文始发于微信公众号(飓风网络安全):【漏洞预警】Apache Kafka访问控制不当漏洞(CVE-2024-27309)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月14日04:02:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞预警】Apache Kafka访问控制不当漏洞(CVE-2024-27309)http://cn-sec.com/archives/2653956.html

发表评论

匿名网友 填写信息